httpvhd: //www.youtube.com/watch? v = Ou_Iir2SklI & feature = player_embedded
Kui olete iPhone'i või iPod Touchi Skype'i kasutaja, hoiatage: uus saidiülene skriptimise haavatavus on avastati versioonis 3.0.1, mis võimaldab ründajatel pahatahtlikku JavaScripti koodi käivitada, saates teile lihtsalt vestluse sõnum.
Hea uudis on see, et Skype on probleemist teadlik ja juba käivitab värskenduse, mis parandab ärakasutamise.
Halb uudis? See ärakasutamine ilmneb siis, kui vaatate lihtsalt vestlussõnumit, mis tähendab, et igaüks, kes saadab teile Skype'is kiirsuhtluse, võib hõlpsasti teie privaatset teavet varjata.
Turvauurija Phil Purviance, kes leidis selle ära, ütleb:
Üks suvalise Javascripti koodi täitmine on üks asi, kuid leidsin, et Skype määratleb valesti ka URI-skeemi, mida Skype'i sisseehitatud veebikomplekti brauser kasutab. Tavaliselt näete skeemi väärtuseks „umbes: tühi” või „skype-randomtoken”, kuid sel juhul on see tegelikult seatud väärtusele „file: //”. See annab ründajale juurdepääsu kasutaja failisüsteemile ja ründajal on juurdepääs mis tahes failile, millele rakendus ise juurde pääseks.
Juurdepääsu failisüsteemile leevendab osaliselt Apple'i rakenduse liivakast iOS -i rakenduses, mis takistab ründajal juurdepääsu teatud tundlikele failidele. Kuid igal iOS -i rakendusel on juurdepääs kasutajate aadressiraamatule ja Skype pole erand.
See tundub hea näide klassikalisest ekspluateerimise ajaskaalast: avastatakse ohtlik ärakasutamine, millest teatatakse seejärel ettevõttele, kes teeb seda sellest ei räägita enne, kui ekspluateerimise leidnud isik avalikuks tuleb ja sel hetkel saavad nad äkitselt kahekümne nelja jooksul plaastri välja anda tundi.
Igatahes olge järgmistel päevadel iOS -i Skype'is ettevaatlik. Loodetavasti saab Skype selle varsti korda.
